入侵兼反入侵的实例
【菜科解读】
难道........嗯..继续扫扫,调出流光,扫啊扫,建立空连接失败,没有弱口令,IIS没有漏洞,MSSQL连SA都改了密码.....不会啊~这个网站防御措施做的还是蛮足的啊,怎么又像被人入侵过的痕迹呢?嗯.试试最近比较流行的那个MSSQL溢出漏洞,试试看.....screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>溢出成功!进去了....screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>嗯嗯..如果没有估计错的话,那么那个远程控制软件就是以前的入侵者留下来的咯,作为一个电子商务网站,不能够有效地解决网络安全这个问题,难怪国人现在对网上交易还不大放心,既然如此,那就好事做到底,帮网管把这主机的漏洞补上,堵了入侵者的后门,断了入侵者的后路.首先把要用到的工具都上传到目标主机上面去,建个IPC$管道,上传一些待会分析要用到的工具,如mport.exe这个能查看进程对应端口的体积小却功能强大工具.看下这主机有多少用户属于管理员组:screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>根据经验,像backup$这类的用户就一定是入侵者留下来的账号,因为在命令行下,像hacker$这样的用户名你用net user是看不到的,系统默认会隐藏掉,但是有个致命的缺点,就是net localgroup则可以列出组中所有用户,无论加了$还是没有加.接着继续判断其他用户的合法度.转到C:\Documents and Settings目录下,这个目录记录了曾经在目标主机上登陆过的用户的一些信息:screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>每个文件夹前面的创建日期可以给我们一点提示,管理员账号administrator创建于2002-02-01,除了webmaster是2002-11-19以外,其他的用户都比较接近,所以我们把重点放在webmaster上面,这时我们需要得到更多有个这个账号的信息,net user webmaster,得到此账号上次登陆时间是"上次登录 2002/11/29 上午 08:44",也就是周五早上上班时间登陆的,再转向C:\Documents and Settings\webmaster\桌面>目录下:screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>桌面上有几个常用的快捷方式,想想倒也蛮符合此账号webmaster的身份,再转到C:\Documents and Settings\webmaster\「开始」菜单\程序>目录下,也只是几个网管常用的工具连接,所以我们初步断定webmaster这个账号为合法账号,那么我们就除掉backup$这个用户:net user backiup$ /del.查完了用户,就轮到查查入侵者是否有在主机上留下特洛伊木马程序或是其他远程控制程序此类的后门,这时就要用到前面上传的mport.exe啦,执行下mport.exe,咦,又有情况:screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>主机竟然开了远程终端,而且被换在了2887端口而不是默认的3389端口,看来又是入侵者的杰作.命令行下:netstat –an看看现在都有谁连接到主机上:screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>哈!真是巧,有人在连接终端,原来入侵者就在身边,那么补漏的工作更加刻不容缓,那么咱们也登陆上终端看看,说不定会有新的发现.登上终端,输入刚刚自己加的账号,熟悉的桌面又展现眼前.继续咱们的补漏工作,记得刚开始扫常见端口的时候主机开了80.查一查原来是台WEB发布服务器,主机上有50来个网站,主机已经打了SP3,不存在idq/ida溢出,Unicode和二次解码漏洞也不存在,主目录设在了E盘下,也不必担心那几个默认的WEB共享文件夹,接着看看主机运行了哪些服务,按照以往的经验,凡是服务名开头的字母没有大写的,除了pcanywhere以外,都是入侵者自己留的后门或是其他别的什么.还有一些服务名没有改的远程控制软件一眼就可以看出来,像比较流行的Radmin:screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>入侵者虽然把服务端改成了sqlmsvr.exe这样比较容易迷惑人的名字,可是服务名没有改,还是很容易就被识破.screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>入侵者把远程终端的端口和显示名称及描述都改成了,可是服务名称还是没有改到.所以并不难找出.screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>服务名称还是把入侵者出卖了.找到这些后门后,先停服务,再把启动类型改为禁用!!接下来我们就要把我们进来时的漏洞堵上,到google搜下,这是有关MSSQL这个溢出漏洞补丁的相关信息:厂商补丁:Microsoft已经为此发布了一个安全公告(MS02-039)以及相应补丁:MS02-039:Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)链接http://www.microsoft.com/technet/security/bulletin/MS02-039.asp补丁下载: * Microsoft SQL Server 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602下载后,展开,得到ssnetlib.dll这个文件,这时只要dir ssnetlib.dll /s找出主机中所有的老ssnetlib.dll这个文件,改名后以新的ssnetlib.dll替换掉老ssnetlib.dll就把MSSQL这个溢出漏洞补上了.命令行下:query user,用户是guest,嗯。
。
。
。
。
。
估计是被克隆过的用户查下是不是。
。
。
。
。
screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>果然!感觉补漏工作应该做得差不多了,也是时候跟入侵者say byebye了~命令行下:net user guest /active:no,把guest这个用户禁用。
命令行下:logoff 1screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>入侵者已经被我们踢出去了,现在是检验我们劳动成果的时候了,静静地netstat –an,看入侵者是否还能重新进来,过了好一会,发现他连接到主机1433端口,而且guest用户又被重新激活,奇怪。
。
。
。
。
MSSQL溢出漏洞已经补上了啊。
。
。
。
。
难道入侵者在MSSQL中留了后门?不会啊。
。
。
。
。
都是几个很正常的用户。
。
。
。
。
思考中。
。
。
。
。
。
。
哦!对了,入侵者可能自行改了SA的密码,然后再利用SA的xp_shell重新取得权限!好,既然我们想到了这步,就把SA的xp_shell也去掉,断入侵者的后路!!要把SA这类用户的xp_shell去掉,要得到xp_shell,就得调用到xplog70.dll这个文件(SQL97下是xpsql70.dll),那么我们只要把这个文件给改名了,那么就无法得到xp_shell,命令行转到C:\Program Files\Microsoft SQL Server\MSSQL\Binn,ren xplog70.dll xplog70.bak(SQL97下ren xpsql70.dll xpsql70.bak)screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>搞定,再次把入侵者踢出主机,哈哈~这次入侵者就再也没有进来过了。
。
。
。
有人会说,原来反入侵就这么容易,那可就错了,我有位好友这样说过:"起服务名,是一门艺术."确实,当你对电脑系统有了一定的认识后,服务名和显示名称和描述几乎可以起得以假乱真,即使管理员起了疑心,但也决不敢轻易卸载服务.好了,反入侵告一段落,也到了我们该走的时候了,日志该改的就改,好好擦下自己的脚印,反入侵时上传的程序创建的文件夹记得别忘了删,创建的用户也得删,网管可分不清谁是谁,即使咱们帮他补洞,可咱本质上还是入侵者,呵呵~最后,在网站上找找网管的电子邮箱,写个大概经过给他,提醒他以后多多留意网络安全方面的最新消息。
入侵,兼反,的,实例,一次,入侵,兼反,的,实例,
一文看懂,农民的社保卡最新报销比例是多少呢?(4
下面随新社通小编一起了解详情。
农村社保卡看病报销比例是多少钱(农民社保卡报销比例标准)农村社保卡报销的比例是多少?第1点:大病补偿此外,对于大病补偿,镇风险基金会有一定的补偿。
例如,一次性或全年累计应报医疗费超过5000元以上,会有分段补偿。
然而,需要注意的是,有些费用并不在报销范围内,如自行就医(未指定医院就医或不办理转诊单)、自购药品、公费医疗不能报销的药品和不符合计划生育的医疗费用等。
农村社保卡的报销比例和范围是根据具体的医疗情况和就医机构来定的。
农村社保卡报销的比例是多少?第2点:住院补偿镇卫生院报销比例为60%。
二级医院报销比例为40%。
三级医院报销比例为30%。
农村社保卡报销的比例是多少?第3点:农村社保卡能报销的医疗费用,主要取决于就医的机构级别以及所产生的医疗费用类型。
门诊补偿在村卫生室及村中心卫生室就诊,可报销60%,每次就诊处方药费限额为10元,卫生院医生临时补液处方药费限额为50元。
在镇卫生院就诊,可报销40%,每次就诊各项检查费及手术费限额为50元,处方药费限额为100元。
在二级医院就诊,可报销30%,每次就诊各项检查费及手术费限额为50元,处方药费限额为200元。
在三级医院就诊,可报销20%,每次就诊各项检查费及手术费限额为50元,处方药费限额为200元。
温馨提示:本数据源于网络,仅供参考!具体需以当地具体法规为准!
黄冈社保卡里的每个月个人账户进多少钱(2025/04/21)
它的主要目的是为劳动者提供基本的生活支撑,确保他们在遇到生活困难时能够得到一定的经济支持。
社保卡现在每个月返多少钱社保卡一般一个月打入多少钱?本文将为你列举社保卡一个月打入多少相关知识。
下面随新社通小编一起了解详情。
黄冈社保卡里的每个月个人账户进多少钱社保卡现在每个月返个人账户上有多少钱社保卡每月打入的金额主要由医疗保险个人账户返还构成,具体比例与年龄、缴费基数及地区相关。
在职职工:根据年龄划分返还比例,不满35周岁按缴费基数的0.8%,35-45周岁为1%,45周岁以上为2%。
例如,若缴费基数为8000元,45岁以上职工每月医保账户返还160元(80002%)。
退休人员:以当地上年度职工月平均工资为基数,不满70周岁按4.3%,70周岁以上按4.8%返还。
假设当地平均工资为6000元,70岁以上退休人员每月返还288元(60004.8%)。
社保卡里的钱主要由个人缴纳的医疗保险费部分计入,具体数额根据个人的缴费基数和年龄等因素计算得出。
社保卡通常指的是医保卡,它是参加基本医疗保险的个人持有的卡片,用于享受医疗服务时的费用结算。
以下是影响社保卡内金额的几个因素:个人缴费比例:职工每月个人需缴纳一定比例的医疗保险费,这部分费用全部计入个人医保账户。
缴费基数:个人医保账户的金额是根据个人的社保缴费基数来计算的。
缴费基数通常是个人上一年度的平均月收入。
年龄因素:不同年龄段的人,其个人医保账户的计入比例可能不同。
例如,35岁以下的人员,每个月到账的金额可能会按照社保缴费基数的2%来计算。
统筹基金:除了个人账户外,基本医保还包括统筹基金部分,这部分资金主要用于大病住院的报销。
到账时间:一般来说,医保卡的钱在缴费后的两三天内就能够到账,而每月的月末,医保会根据缴费工资、年龄等因素拨付到个人账户里。
社保卡里的钱是按照个人的社保缴费基数和年龄等因素计算的,而且每个月都会有相应的金额打入卡内,用于日常的医疗消费和报销。
每年的拨付通常是12次,即每月一次。
黄冈社保缴费基数是什么意思?社保缴纳基数是根据职工上一年度月平均工资来确定的。
一般情况下,社保缴纳基数是职工上一年度1月至12月的所有工资性收入所得的月平均额。
如果职工的月工资收入低于社会平均月工资的60%,则缴费基数按社会平均月工资的60%计算;如果高于社会平均月工资的300%,则缴费基数按社会平均月工资的300%计算。
